CIS Benchmarks – „How To” Utwardzania Systemów

Czym są CIS Benchmarks?

O CIS Benchmarks pobieżnie wspominałem we wpisie 7 Standardów Wspomagających Bezpieczeństwo IT. Dokumenty CIS Benchmarks od organizacji The Center for Internet Security, Inc. (CIS) są uznanym światowym standardem i najlepszymi praktykami w zakresie zabezpieczania systemów IT i danych przed atakami. Dostępnych jest obecnie ponad 100 CIS Benchmarks dla ponad 25 linii produktów od czołowych dostawców.

Testy porównawcze CIS są opracowywane w ramach unikalnego procesu opartego na konsensusie, w którym uczestniczą specjaliści ds. cyberbezpieczeństwa i eksperci w danej dziedzinie z całego świata. CIS Benchmark to oparte na najlepszych praktykach przewodniki po konfiguracji zabezpieczeń, opracowane i akceptowane przez rządy, biznes, przemysł i środowisko akademickie.

Spłycając teorię i procesy wokół – CIS Benchmark to kompletne, bardzo obszerne i szczegółowe instrukcje techniczne jak zabezpieczyć dany system, którego dotyczą. Dla przykładu CIS Red Hat Enterprise Linux 8 Benchmark v1.0.1 to aż 570-stronicowy dokument!

W tym wpisie odpowiemy sobie na najczęściej zadawane z CIS Benchmarks pytania.

Jak powstają CIS Benchmarks?

CIS Benchmarks opracowywane są dzięki hojnym wysiłkom wolontariuszy -ekspertów merytorycznych, dostawców technologii, członków społeczności publicznych i prywatnych oraz zespołu CIS Benchmark Development.

Wstępny proces tworzenia benchmarku określa jego zakres i rozpoczyna proces dyskusji, tworzenia i testowania wersji roboczych. Korzystając ze strony internetowej społeczności CIS WorkBench, tworzone są wątki dyskusji w celu kontynuowania dialogu, aż do osiągnięcia konsensusu w sprawie proponowanych zaleceń. Po jego osiągnięciu ostateczny benchmark jest publikowany i udostępniany online.

Benchmarki CIS można pobrać bezpłatnie w formacie PDF, a dodatkowe formaty plików (XCCDF, Word itp.) są dostępne dla członków CIS SecureSuite.

Serdecznie zapraszam Cię do zastania wolontariuszem i zaangażowania się w tę społeczność. Jest to dość unikatowe przedsięwzięcie, gdzie wynikiem jest tak wysoka jakość standardów dostępna bezpłatnie.

Jak często publikowane są nowe dokumenty lub starsze ich wersje?

Wydanie nowych testów porównawczych CIS może się różnić w zależności od społeczności, a także głównego harmonogramu wydań technologii obsługiwanej.

Śledzenie na bieżąco nowych wersji CIS Benchmark odbywa się dzięki mailingowi. Rozsyłane są comiesięczne wiadomości e-mail ogłaszające nowe testy i aktualizacje istniejących wydanych już benchmarków. Aby zapisać się na te e-maile, zaloguj się do CIS Workbench (rejestracja jest bezpłatna) i kliknij pole wyboru „receive newsletter” w swoim profilu.

Jeśli chcesz śledzić rozwój benchmarku to wiedz, że każda społeczność w ramach CIS WorkBench umożliwia użytkownikowi przeglądanie kamieni milowych związanych z konkretnym benchmarkiem. Możesz dzięki temu na bieżąco śledzić na jakim jest etapie.

O co chodzi z poziomami i profilami STIG?

Większość testów porównawczych CIS obejmuje wiele profili konfiguracji. Definicja profilu opisuje konfiguracje przypisane do zaleceń wynikających z benchmarku.

Profil Poziomu 1 jest uważany za zalecenie podstawowe. Można je wdrożyć dość szybko i zaprojektowane są tak, aby nie miały dużego wpływu na wydajność. Celem benchmarku profilu poziomu 1 jest zmniejszenie powierzchni ataku w Twojej organizacji. Jednocześnie celem jest zachowanie użyteczności maszyn i niezaburzanie funkcjonalności biznesowej.

Profil Poziomu 2 jest uważany za „dogłębną obronę” i jest przeznaczony do środowisk, w których bezpieczeństwo jest najważniejsze. Zalecenia związane z profilem poziomu 2 mogą mieć negatywny wpływ na Twoją organizację. Pamiętaj o odpowiednim wdrożeniu i należytej staranności.

Profil STIG (Security Technical Implementation Guides) zastępuje poprzedni poziom 3 (czyli poziom z poprzednich wersji CIS Benchamrks). Profil STIG zawiera wszystkie zalecenia, które są specyficzne dla STIG. Nakładanie się zaleceń z innych profili, tj. Poziomu 1 i Poziomu 2, występuje w profilu STIG w stosownych przypadkach.

Każda rekomendacja w ramach każdego CIS Benchmark jest powiązana z co najmniej jednym profilem. Niezależnie od tego, który profil poziomu planujesz wdrożyć w swoim środowisku, zalecam najpierw zastosowanie wskazówek CIS Benchmark w środowisku testowym. Przetestujesz dzięki temu i określisz potencjalny wpływ na Twoje systemy i organizacje.

Co się stanie, jeśli znajdę niezgodność w benchmarku?

Koniecznie ją zgłoś i ciesz się! Dzięki Tobie świat będzie być może odrobinę bezpieczniejszy.

Integralną częścią cyklu życia CIS Benchmark jest konserwacja po opublikowaniu. Proces konserwacji obejmuje przeglądanie zgłoszeń i wątków dyskusji, które zostały przypisane do tego benchmarku od czasu jego wydania. Wszystkie zgłoszone i stosowne poprawki lub aktualizacje zostaną włączone do następnej wersji. Możesz utworzyć zgłoszenie lub rozpocząć wątek dyskusji, logując się do CIS Workbench (rejestracja jest bezpłatna). Dołącz do określonej społeczności CIS Benchmark i przejdź do listy menu „Community Dashboard” po lewej stronie.

Podsumowanie

CIS Benchmarks to przydatne standardy w życiu administratora systemów i wszystkich osób chcących utrzymać wysoki poziom bezpieczeństwa w organizacji. Obecnie maszyny zgodne z tymi standardami można znaleźć w MS Azure, czy AWS jako gotowe do zaimplementowania. Warto się wspomagać takimi standardami. Pomogą one nam uniknąć typowych błędów lub czegoś, co może było do tej pory poza naszą świadomością. Pamiętaj tylko, że każde zabezpieczenie powinno zostać wdrożone zgodnie z polityką bezpieczeństwa.